22、利用机器学习从用户故事生成访问控制策略

利用机器学习从用户故事生成访问控制策略

1. 方法概述

为了更稳健且通用地处理多种不同格式的用户故事，我们选择了深度学习方法。该模型能够识别用户（或参与者）与系统的数据对象或操作之间的通用访问控制信息，尤其适用于基于角色或基于属性的访问控制。

2. 数据

在寻找用户故事数据集时，发现大多数文献使用专有数据集，且不允许随研究成果发布。我们找到由 Dalpiaz 等人发布的一个数据集，包含 21 个 Web 应用，每个应用有 50 - 130 个用户故事，总计超过 1600 个用户故事。这些应用来自不同领域，如财务管理、医疗保健、行政管理等，其中数据管理平台类应用最为常见，有 12 个。

用户故事的复杂程度不一，很多是包含多个参与者、数据对象或操作的复杂陈述，难以用单一模型将用户故事作为输入并输出所有必要的访问控制信息。例如，对于某个用户故事，输出可能是 “(authenticated user, summits, view); (authenticated user, register for the event, access); (authenticated user, event, view); (authenticated user, location, view)” 这样的元组。

我们原本考虑使用神经翻译方法，但该方法存在诸多困难，如列出多个访问控制元组时顺序不重要且单词不断重复、分析许多不含访问控制信息的用户故事以及多个不同用户故事产生相同元组等问题。因此，构建了包含三个子组件的模型进行预测：
- 访问控制分类：判断用户故事是否包含访问控制信息。
- 命名实体识别：识别用户故事中包含的参与者和数据对象。 <